關于改善地方政府網絡安全管理技術的幾點方法

摘 要 網絡安全是多維的安全，一個安全的信息系統不僅僅要考慮環境因素和技術安全，還應考慮管理的問題。不管多么先進的安全技術、安全策略都離不開人的執行，如何加強對人的管理，就是網絡安全管理的內容。

【關鍵詞】網絡安全管理 制度 應急演練 檢測

1 政府信息網絡安全面臨的嚴峻形勢

1.1 網絡威脅持續上升

國際上在美國的主導下，西方發達國家先后成立了“網軍”，制定發展規劃，不斷發展網絡軍備競賽。 “棱鏡門”事件明確的告訴我們，美國政府通過控制著名的網絡公司竊取其他國家的情報。

1.2 我國政府網絡面臨的“信息泄密”和“黑客攻擊”問題突出

據國家互聯網應急中心報告指出2013年中國6000多家政府網站曾被植入后門病毒，特別是區縣級政府占比最多，例如2013年7月11日凌晨，中國紅十字基金會微博被“反共黑客”登陸，并連續發布了大量反動微博。

1.3 信息網絡基礎設備安全問題普遍存在

由于我國網絡設備的核心技術缺乏，骨干網絡設備、數據庫、操作系統等關鍵設施都采用國外產品，在安全上存在不可確定性。部、省、市的網絡安全防護能力參差不齊，使得相互連接的專網難以做到“同步同級同保護”。

1.4 信息化安全管理、保障工作相對落后

網絡安全是三分靠技術、七分靠管理，建立相應的組織機構，制定有針對性的規章制度，加強對網絡設備和相關人員的管理，對于確保網絡的安全、可靠地運行、將起到十分有效的作用，當前信息網絡使用人員復雜、網絡安全技術素質及安全意識參差不齊，導致信息網絡安全管理工作工作不到位。

2 地方政府網絡安全管理存在的主要問題

2.1 思想觀念落后，沒有樹立正確的網絡安全觀

要樹立正確的網絡安全觀，很多領導干部認為，我已經花了大價錢買了很多的安全防護設備，完全可以高枕無憂了，沒有按照國家規定制定完善的管理制度，實際上這是一個錯誤的觀念。在世界上沒有絕對安全的網絡，網絡技術是不斷發展，根本就不存在一勞永逸的防護手段。就是作為世界網絡霸主的美國，在網絡安全建設上投入了巨大的資金，還是無法保證其政府的網絡安全，時常有一些政府的關鍵部門被入侵。還有的領導很重視網絡安全建設，但是苦于經費等因素的原因，覺得沒有上級的幫助是無法完成這項任務的，實際上網絡安全建設是要符合本單位的實際需求的，不是說要把所有的安全設備能想到的或者想不到的都用上，實際不僅不能保證網絡的安全，而且會造成巨大的資金浪費。大家應該明白一個概念，就是黑客的攻擊也是有成本要求，他們往往使用一些低成本的工具來選擇攻擊目標，只要我們合理配置安全設備，完全可以在黑客攻擊開始的時候讓其知難而退。

2.2 網絡安全制度落實不到位，安全防范意識不強

很多人任務維護網絡安全是專業技術人員的事情和自己沒有關系，還有的人思想上麻痹大意，認為沒有幾個人敢于入侵政府網絡，無視各項規章制度，為了逃避管理，私自刪除安全檢測程序；私自卸載網絡版殺毒軟件，隨意更換殺毒軟件；隨意拷貝文件引；越權使用單位的電腦、移動存儲設備；隨意修改自己的主機配置、安裝非法軟件等等現象非常突出。網絡管理人員也出于方便使用的想法，沒有對用戶進行身份審計和設定，關鍵準備的密碼也不定期更換，網絡安全教育也流于形式，不系統，不經常，導致部分干部在認識上不深刻不到位。

2.3 缺乏有效的應對手段，安全保障措施不到位。

沒有危機意識，缺乏應對危機的能力和手段，目前大多數信息系統缺少安全管理員，缺少安全管理技術規范，缺少定期的系統安全測試，缺少安全審計機制，缺少年度考核制度，這些疏于管理的網絡成為黑客們游蕩的樂園，還有的信息系統安全防護設備完善，但是管理人員的能力水平有限，當遇到危機的時刻，不知如何處理。

3 提升網絡安全管理水平的幾點對策

信息網絡的安全主要包括物理安全、網絡安全、系統安全、應用安全和管理安全五個方面，信息網絡安全應遵循“木桶理論”，即一個木桶最短的一塊木板決定著木桶的容積，一個系統的安全強度等于它最薄弱環節的安全強度。而管理安全是地方政府最容易忽視的管理環節，無論采用多么先進的設備，如果安全管理上有漏洞，那么這個網絡安全一樣沒有保障。

3.1 建立一套行之有效的網絡安全管理制度

在網絡管理中，制定有關的規則制度，對于確保網絡的安全可靠的運行能起到十分關鍵的作用。制度制定的前提條件是不能違背國家的法律法規，不同密級的政府部門的安全制度是有所區別的，對于安全等級較高的部門至少應該有如下制度。

3.1.1 負責人制度

負責人對本部門總體工作進行部署，包括：

（1）安全管理方面的法律、法規和有關政策的宣傳。

（2）規章制度的制定、定期檢測和審查信息網絡運行情況。

（3）工作人員的安全教育和培訓。

（4）發生安全事件時和公安機關網監部門溝通聯絡等工作。

3.1.2 網絡安全員制度

安全員必須經過公安網監部門的認證培訓，考核合格后才能上崗，安全員負責的工作包括：

（1）執行本單位網絡安全管理的各項規章制度。

（2）按照計絡安全技術規范要求對網絡安全運行情況進行檢查測試，及時排除各種安全隱患。

（3）對本單位在網絡上發布的信息進行巡查，如發現有害信息立即停止傳輸，并向有關部門報告。

（4）在發生網絡突發性事件時，立即響應并承擔處置任務，同時做好系統保護工作。

3.1.3 網絡信息監視、保存、清除和備份制度：包括：

（1）提供的上網信息，必須經過相關部門的審核后方可上網，并及時予以登記。

（2）網絡運行日志的管理，上網日志應包括上網時間、下網時間、用戶名、分配的iP地址等，還注意要將系統運行日志完整保存3個月或3個月以上，以便網絡監管部門的檢查。

（3）網絡上傳播的有害信息要及時控制并刪除。嚴格防止非授權或非法用戶侵入政府網絡，，一經發現應馬上進行相應的處理，并且保護好相關日志等數據，及時向有關部門報告。

（4）加強對用戶數據的管理，發現異常用戶，及時處理并上負責部門備案。

3.1.4 病毒檢測和網絡安全漏洞檢測制度

（1）給各網絡內計算機安裝防病毒軟件、防火墻軟件，并對軟件定期升級。

（2）定期檢測網絡病毒和各種安全漏洞，發現問題采取必要措施加以防治。

3.1.5 帳號使用登記和操作權限管理制度

（1）采取安全措施防止無關用戶進入系統。

（2）核心數據庫系統的密碼必須由經過考核的專人掌管，并且要定期更換。禁止同一人即掌管操作系統密碼又掌管數據庫管理系統密碼。

（3）核心數據庫的管理人員不能長期從事同一崗位工作，工作人員應不定期地循環任職。操作人員的用戶名應各不相同，并且要定期更換操作密碼。

（4）各崗位的操作權限要嚴格按各自崗位職責設置。應不定期隨時檢查操作員的權限；

3.1.6 安全管理人員崗位工作職責

（1）要及時向網絡管理機關提供網絡安全安保護所需的資料，如本單位的網絡拓撲結構、安全人員信息、本單位的ip分配、使用情況、安全措施情況等。

（2）負責本單位信息網絡系統安全知識的宣傳教育工作。

（3）定期對本單位的網絡安全工作進行進行檢查。

還有其他一些制度：

（1）機房出入管理制度。禁止無關人員出入中心機房，采用識別系統對出入人員進行登記管理。

（2）入網人員管理制度。統一管理所有員工的賬號和權限，根據涉密信息系統的要求，按照工作人員的工作性質和信息使用的安全級別，將員工的賬號劃分到不同的區域。

（3）應急反應制度。制定應急反應方案，定期檢測和組織應急演練。

（4）網絡安全培訓考核制度。定期對相關人員培訓和考核。

3.2 做好日常網絡安全檢測工作

日常的檢測工作分為三種，一種是網絡安全測試，就是在實際攻擊發生前利用檢測工具如漏洞評估、入侵檢測系統、網絡日志等來了解網絡系統的安全狀態，檢測是一種動態的防御手段，可以事先了解系統的漏洞和缺陷，檢測的目的是檢測系統存在的脆弱性、測試信息是否發生泄漏、系統是否遭到入侵，并找到泄漏的原因和攻擊的來源。網絡安全檢測對降低安全風險的做法意義重大。另一種是對網絡上的信息內容進行檢查，查看是否有沒經過審查就發布的信息和有害信息，現在黑客最常見的攻擊就是在政府網絡加入一些暗鏈，誤導正常使用用戶訪問非法網站，如果一經發現應馬上截圖并保護現場，及時上報公安網監部門。還有一種是檢測安全管理制度是否落實。一是檢查是工作人員否有違反安全制度，不按照操作流程工作的情況。二是檢測規則制度有沒有不符合實際情況的地方，一個好的制度應該是全面細致，又簡練可操作性強，脫離實際的制度為讓安全管理人員覺得無路如何也無法完成工作，而喪失信心，沒有工作積極性。三是檢測安全管理人員的對待工作否有認真履行職責，并依據相應制度對其進行獎懲。

3.3 組織信息安全事件的應急演練

信息安全應急演練的目的：信息安全應急演練是對信息安全專項應急預案的演習，是通過模擬發生網絡語信息安全事件，并依照應急預案的規定開展事件處置工作，并以此檢驗本級政府針對信息安全事件的響應能力。由于網絡安全事件的發生沒有征兆性，事件影響難以控制，事件處理非常復雜，所以有必要進行應急演練。演練包括流程演練和技術演練兩部分，流程演練是檢驗管理型應急預案規定的應急工作主要流程的合理性和應急人員對流程的掌握程度。技術演練是嚴驗證應急技術處置程序、技術指導書的可操作性和應急技術人員相關技術的掌握程度。

3.4 加強網絡安全培訓和考核

網絡安全培訓是提高相關人員建立安全意識、熟練工作規則和相關要求。參加培訓的人員應該是所有本部門與信息安全工作相關的人員，如負責人、安全管理人員、網絡化運維人員、網絡使用人員。培訓內容也根據參加培訓人員職責的不同也有區別，比如領導決策者是信息安全工作的領導核心。對于領導決策者角色，首先必須提高信息安全意識，其次則需要了解信息安全工作的相關規則，如《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《信息安全管理條例》等相關政策法規。而對于主管人員，除了相關的法律法規外，還要了解信息安全工作的各項具體流程，以及出現網絡安全事件的處理流程。對技術人員而言是各種網絡中軟硬件設備的技術培訓和常見的網絡攻擊事件的處理方法，對于普通的工作人員是基本技能和安全規章制度的培訓。特別強調的是對于關鍵崗位的人員必須通過培訓并且還得經過相應技能測試評估才能上崗。

4 結束語

網絡安全是信息網絡安全體系中不可缺少的一部分。一個完善的信息網絡解決方案不僅要有預警、保護、檢查、響應、恢復和反擊等方面的內容，還需要以人為核心的策略和管理支持。網絡安全至關重要的往往不是技術手段，而是對人的管理。

參考文獻

[1]陳能華.政府信息資源管理研究[M].湖南人民出版社，2009.

[2]錢秀儐.政府網絡與信息安全事件應急工作指南[M].中國質檢出版社，2012.

[3]黃波.信息網絡安全管理[M].清華大學出版社，2010.

[4]Christos Douligeris：以色列.網絡安全現狀與展望[M].科學出版社，2010.

[5]王海軍.網絡信息安全管理研究[M].山東大學出版社，2009.

[6]殷克強.我國政府網絡系統面臨的安全分析[J].信息科學，2010.

作者簡介

初鵬（1976-），男，黑龍江佳木斯市人，中級職稱，大學學位。主要從事網絡信息管理研究。

作者單位

佳木斯市委黨校 黑龍江省佳木斯市 154002